在公務機關，教育訓練的接受度很兩極。有些人避之唯恐不及，擔心一旦受訓就必須承擔更多責任，而有的人則熱衷於培訓，因為這意味著可以暫時脫離日常工作的壓力。這主要取決於機關的文化和風氣。

過去，在我所處的單位，由於預算充裕，許多人都參與了訓練。但這帶來了一個問題：一些員工在獲得證照後選擇離職，尋求更好的機會。這導致主管態度大轉，反對員工參加培訓，且新的資安業務仍然被推給承辦人處理。當業務承辦人遭遇不懂的問題而沒有受到應有的教育訓練，他們也選擇離開。最後，制定了"誰參訓，誰負責"的政策後，幾乎沒有人願意報名參與了。

從我的觀點來看，如果機關有充足的預算，我們可以鼓勵員工進行更多的培訓和教育。儘管有些人可能會選擇離開，但，不是每個人都會選擇這條路。在公務機關中，預算是必須執行的，而在預算充足的情況下，我們有機會做更多事情，而非只是及格拿到資安法規定的證照要求下限。

教育訓練是成功實施資訊安全策略的關鍵。如果有足夠的經費，建議非資訊人員也可以考取 ISO 27001 LA 證照，因為當前的資安法管理依賴這一標準。接受這樣的培訓，員工更能夠理解稽核人員的立場，提供稽核時需要的答案，而不是給出可能導致稽核缺失的答案。

教育訓練可以分成三種方式：
外面上課：資源有證照班、資安專業職能班、各機關舉辦的課程...是合資安專職人員、資訊人員、有資源+意願的資安窗口
線上課程：e等公務員、台北e大...適合一般人員獲取時數(資安法規定每人至少3小時)
包班上課：請外聘講師、開標證照班機關一起上課...適合經費充足讓全機關的人一起上

公務機關的資安專職人員確實短缺，許多單位都在招募，而其薪資也相對較高。從長遠看，這些訓練和經驗將成為他們職業生涯中的重要資本。因此，從個人發展的角度看，應該積極參與訓練。此外，為了確保業務的連續性，我們也應該鼓勵更多的員工參與訓練，即使他們最終選擇離開。

多辦幾場教育訓練絕對是一種多多益善的策略。